Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Powershell: Passwort ohne Komplexität funktioniert nicht!

Frage Microsoft Windows Server

Mitglied: gabeBU

gabeBU (Level 1) - Jetzt verbinden

18.03.2014, aktualisiert 19.03.2014, 2833 Aufrufe, 9 Kommentare, 3 Danke

Hallo Zusammen

Für die MAC-AUthentifikation benötige ich als Benutzername und Passwort eine MAC-Adresse, die exakt 1 zu gleich sein muss und sie muss gleich geschrieben werden. Habe ich eine kleine Testumgebung, auf der sonst nichts weiteres läuft, deswegen habe ich in der Default-Policy alles bezüglich Kennwortkomplexität abgestellt und auch extra in einer Organisationseinheit die Kennwortrichtlinien erneut in einer GPO definiert. Nun habe ich folgendes Problem

Ich möchte gerne per Powershell das Passwort auf die MAC-Adresse ändern, leider kriege ich immer noch die Meldung, dass das Passwort nicht komplex genug sei. In der Oberfläche von Microsoft funktioniert das Zurücksetzen aber problemlos.

Gibt es da noch eine Powershell-Bezogene einstellung? Folgendes habe ich schon versucht:

-Server neustarten
-gpupdate /force in der Selben Konsole wie auch der Set-ADAccountPasswort-Befehl gemacht wurde

Und da wüsste ich jetzt auch nicht, was ich sonst noch tun könnte. Ich habe noch einen zweiten DC, aber der übernimmt ja einfach die Einstellungen, die ich auf dem ersten treffe und alle Befehle habe ich auch auf meinem HauptDC ausgeführt.

Danke für eure Antworten

Gruss

gabeBU
Mitglied: schmitzi
19.03.2014 um 01:29 Uhr
Hi,

könnte es sein dass der 2. DC sich nicht aktualisiert (GPOs) und der Client
ausgerechnet auf den zugreift (mit noch "komplexer" PW-GPO ?

Schau mal CMD -> SET LOG welcher DC am Client angezeigt wird

Gruss
RS
Bitte warten ..
Mitglied: gabeBU
19.03.2014 um 13:04 Uhr
Werde ich machen, aber ich arbeite direkt auf dem Server, trotzdem danke für den Tipp.
Bitte warten ..
Mitglied: colinardo
19.03.2014, aktualisiert um 14:09 Uhr
Hi,
poste mal bitte was Get-ADDefaultDomainPasswordPolicy ausgibt...
Und setze mal MinPasswordAge auf 0 Tage. Ist die minimale Passwortlänge auch nicht auf länger als eine MAC-Adresse lang ist gesetzt (17 Zeichen bei Verwendung von Trennzeichen / 12 ohne)?

Grüße Uwe
Bitte warten ..
Mitglied: gabeBU
19.03.2014, aktualisiert um 14:34 Uhr
Die Mininmale Passwort länge habe ich auf "0" gesetzt....ich dachte ,das wäre sinnvoller...könnte das heissen, das ich gerade mir ein Eigentor geschossen habe, weil jetzt Passwörter keine länge mehr haben dürfen? Dann habe ich da wohl was falsch verstanden...

Ich muss die MAC-Adresse ohne Trennzeichen setzen, deswegen nur 12 Zeichen, aber ich werde es einstellen.

Das MinPasswordAge kann ich nur ändern, wenn ich auch das maxpasswordage ändere. Habe ich jetzt mal gemacht, diese Konfiguration nutze ich jetzt:


01.
ComplexityEnabled           : False 
02.
DistinguishedName           : DC=IPA,DC=LOKAL 
03.
LockoutDuration             : 00:30:00 
04.
LockoutObservationWindow    : 00:30:00 
05.
LockoutThreshold            : 0 
06.
MaxPasswordAge              : 999.00:00:00 
07.
MinPasswordAge              : 00:00:00 
08.
MinPasswordLength           : 12 
09.
objectClass                 : {domainDNS} 
10.
objectGuid                  : 1dcbbaf6-29c7-49a7-a7bb-b72121f0a4de 
11.
PasswordHistoryCount        : 24 
12.
ReversibleEncryptionEnabled : True
Wie immer anschliessend eine Powershell auf dem Server geöffnet, als Administrator ausgeführt und per gpupdate /force auf dem eigenen Server die Gruppenrichtlinie aktualisiert, doch leider funktioniert es immer noch nicht.

Edit: Aaalso

Ich habe mal alle Gruppenrichtlinienobjekte gelöscht, die ich in letzter Zeit angelegt habe und habe den Server neugestartet. Das heisst, von den Gruppenrichtlinien her ist jetzt alles flach und es ist nur noch die Domain Policy da. Dort habe ich die Kennwortkomplexität deaktiviert und sonst alles undefiniert, funktioniert nicht.

Dann habe ich alle Werte auf "0" gestellt, kennwortkomplexität deaktiviert, funktioniert auch nicht und schlussendlich alles undefiniert, ging auch nicht.

Dann habe ich die Default Domain policy in jeder Organisationseinheit einzeln verknüpft, was auch nicht ging.

Langsam gehen mir die Ideen aus^^.

edit 2 : Okay, jetzt wird es wirklich seltsam...

ich habe es erneut versucht und beim Passwort zusätzlich zur MAC-Adresse eine "1" hinten angesetzt, dann klappte es. Soweit müsste das heissen, dass es bei der Powershell irgendwie eine regelung gibt, dass das Passwort 13 Zeichen lang sein muss, was mich verwirren würde.






EDIT 3: Gut, ich habe es rausgefunden. Es lag wohl daran, dass ich ein älterer MAC-Adressenbenutzer genommen habe, den ich vor diesen GPO-Änderungen genutzt habe. Die Benutzer habe ich neu angelegt und jetzt funktioniert auch das Passwort-setzen.
Bitte warten ..
Mitglied: colinardo
19.03.2014, aktualisiert um 14:23 Uhr
Zitat von gabeBU:
Die Mininmale Passwort länge habe ich auf "0" gesetzt....ich dachte ,das wäre sinnvoller...könnte das
heissen, das ich gerade mir ein Eigentor geschossen habe, weil jetzt Passwörter keine länge mehr haben dürfen? Dann
habe ich da wohl was falsch verstanden...
Die minimale Passwortlänge sagt aus das ein Passwort minimal so lang sein muss.. du kannst sie also auch auf 8 setzen, auf 13 hätte sie nicht stehen dürfen, dann entspräche die MAC als Passwort nicht den Anforderungen.
Wie immer anschliessend eine Powershell auf dem Server geöffnet, als Administrator ausgeführt und per gpupdate /force
auf dem eigenen Server die Gruppenrichtlinie aktualisiert, doch leider funktioniert es immer noch nicht.
klar Neustart gehört danach zur Pflicht ! ist ja eine Computer-Policy ...
Langsam gehen mir die Ideen aus^^.
dann ist bei dir was oberfaul, geh mal in die Kennwortverwaltung von Windows und lösche dort alle Hinterlegten Passwörter raus, dann meldest du dich ab und nochmal neu an ...manchmal gibt es dort mit Hinterlegten Adminpasswörtern Probleme die solche komischen Fehler in der Powershell verursachen.

dass es bei der Powershell irgendwie eine regelung gibt, dass das Passwort 13 Zeichen lang sein muss, was mich verwirren würde.
definitiv NEIN. Die Powershell macht hier keine Extrawurst !

Ich vermute eher dein Script hat eine Macke

Grüße Uwe
Bitte warten ..
Mitglied: gabeBU
19.03.2014 um 14:49 Uhr
Also, alles funktioniert jetzt, ich musste nur den Nutzer neu anlegen, dann konnte ich auch sein Passwort anlegen.

Zudem muss ich wie es scheint immer in der Default Domain Policy die Kennwortrichtlinie deaktivieren und kann das Passwort setzen nicht später über eine GPO in der entsprechenden OU setzen, oder ich muss mich da noch weiter einlesen.

Jedenfalls danke für eure Tipps.
Bitte warten ..
Mitglied: colinardo
19.03.2014, aktualisiert um 15:10 Uhr
Zitat von gabeBU:
Zudem muss ich wie es scheint immer in der Default Domain Policy die Kennwortrichtlinie deaktivieren
ähm, das hatte ich vorausgesetzt!
oder ich muss mich da noch weiter einlesen.
yip, Lesen ist immer gut:
    - Kennwortrichtlinien 
    - Kontosperrungsrichtlinien 
    - Kerberosrichtlinien  
Diese 3 Einstellungen sind nur auf Domänen Ebene möglich und sind zwingend bindend für alle Objekte, die im Active Directory verwaltet werden. Man kann keine unterschiedlichen Werten für verschiedene Benutzergruppen oder ähnliches definieren. 
 
Jede an anderen Stelle konfigurierte Kennwortrichtlinie hat nur Auswirkungen auf die LOKALEN Benutzerkonten der betreffenden "Computer" in der OU, auf der diese Richtlinie wirkt.
Wenn mehere Richtlinien gefordert sind macht man das mit mehreren PSOs (Password Settings Objects):
http://technet.microsoft.com/de-de/library/cc754461%28v=ws.10%29.aspx
Bitte warten ..
Mitglied: gabeBU
19.03.2014 um 15:10 Uhr
Hmm...ja, habe ich auch beim rumlesen herausgefunden...

nein, natürlich habe ich jetzt beim Testen die Kennwortrichltinie deaktiviert, nur habe ich gehofft, ich könnte es trotzdem noch in der OU definieren...das ist aber ärgerlich...

Naja, danke für die Tipps und dann kann ich so auch weiter arbeiten :3.
Bitte warten ..
Mitglied: schmitzi
21.03.2014 um 01:43 Uhr
Zitat von colinardo:

> Zitat von gabeBU:
> Zudem muss ich wie es scheint immer in der Default Domain Policy die Kennwortrichtlinie deaktivieren
ähm, das hatte ich vorausgesetzt!

Räusper, bin ich auch von ausgegangen. Den User neu anlegen hättest Du Dir sparen können :O)

> oder ich muss mich da noch weiter einlesen.

ja sicher

aber wie immer: Hauptsache läuft, und zwar nicht das Bein runter :O)
Gruss
RS
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Batch & Shell
gelöst Powershell funktioniert nicht richtig beim Auslesen der letzten Zeile (5)

Frage von Peter32 zum Thema Batch & Shell ...

Windows Server
Powershell Skript funktioniert im Task Scheduler nicht (4)

Frage von winlin zum Thema Windows Server ...

Batch & Shell
gelöst Powershell Datei kopieren mit ACL Script funktioniert nicht (4)

Frage von xpxy15 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...